Accès aux objets sécurisables WMI
WMI s’appuie sur les descripteurs de sécurité Windows standard pour contrôler et protéger l’accès aux objets sécurisables tels que les espaces de noms WMI, les imprimantes, les services et les applications DCOM. Pour plus d’informations, consultez Accès aux espaces de noms WMI.
Les rubriques suivantes sont présentées dans cette section :
- Descripteurs de sécurité et SID
- Contrôle d’accès
- Changement de la sécurité d’accès
- Rubriques connexes
Descripteurs de sécurité et SID
WMI gère la sécurité d’accès en comparant le jeton d’accès de l’utilisateur qui tente d’accéder à un objet sécurisable au descripteur de sécurité de l’objet.
Quand un utilisateur ou un groupe est créé sur un système, le compte reçoit un SID (identificateur de sécurité). Le SID permet d’avoir la certitude qu’un compte créé avec le même nom qu’un compte supprimé n’hérite pas des paramètres de sécurité précédents. Un jeton d’accès est créé en combinant le SID, la liste des groupes dont l’utilisateur est membre et la liste des privilèges activés ou désactivés. Ces jetons sont affectés à tous les processus et threads appartenant à l’utilisateur.
Contrôle d’accès
Quand l’utilisateur souhaite utiliser un objet sécurisé, le jeton d’accès est comparé à la liste DACL (liste de contrôle d’accès discrétionnaire) dans le descripteur de sécurité de l’objet. La liste DACL contient des autorisations appelées entrées ACE (entrées de contrôle d’accès). Les listes SACL (listes de contrôle d’accès système) font la même chose que les listes DACL. Toutefois, elles peuvent générer des événements d’audit de sécurité. À partir de Windows Vista, WMI peut ajouter des entrées d’audit au journal de sécurité Windows. Pour plus d’informations sur l’audit dans WMI, consultez Accès aux espaces de noms WMI.
La liste DACL et la liste SACL comprennent une liste d’entrées ACE qui décrivent les utilisateurs disposant de droits d’accès spécifiques, notamment l’écriture dans le dépôt WMI, l’accès et l’exécution à distance ainsi que les autorisations d’ouverture de session. WMI stocke ces listes ACL dans le dépôt WMI.
Les entrées ACE comportent trois types de niveau d’accès ou de droit d’octroi/de refus : autorisation, refus pour les listes DACL et audit du système (pour les listes SACL). Les entrées ACE de refus sont prioritaires sur les entrées ACE d’autorisation dans les listes DACL ou SACL. Au moment de la vérification des droits d’accès utilisateur, WMI s’exécute de manière consécutive via la liste de contrôle d’accès jusqu’à ce qu’il trouve une entrée ACE d’autorisation qui s’applique au jeton d’accès demandeur. Les entrées ACE restantes ne sont plus vérifiées après ce point. Si aucune entrée ACE d’autorisation appropriée n’est trouvée, l’accès est refusé. Pour plus d’informations, consultez Ordre des entrées ACE dans une liste DACL et Création d’une liste DACL.
Changement de la sécurité d’accès
Avec les autorisations appropriées, vous pouvez changer la sécurité d’un objet sécurisable à l’aide d’un script ou d’une application. Vous pouvez également changer les paramètres de sécurité des espaces de noms WMI à l’aide du contrôle WMI ou en ajoutant une chaîne SDDL (Security Descriptor Definition Language) dans le fichier MOF (Managed Object Format) qui définit les classes de l’espace de noms. Pour plus d’informations, consultez Accès aux espaces de noms WMI, Sécurisation des espaces de noms WMI et Changement de la sécurité d’accès sur les objets sécurisables.
Rubriques connexes
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour